Advarer mot Powerpoint og Word

Lysbildefremvisning med Powerpoint
Både det norske Datatilsynet og det danske Datatilsynet advarer nå mot ukritisk bruk av Powerpoint og Word. Ved å legge ut på nettet eller sende på epost filer produsert av disse Microsoft-programmene kan man risikere å avsløre mye mer informasjon enn man hadde tenkt.


Problemet oppstår fordi både Powerpoint-filer (.ppt, .pps) og Word-filer (.doc) kan bestå av både flyttbare og innebygde objekter. Flyttbare objekter arter seg slik at selv om disse skjuler noe informasjon bak seg ved normal visning vil man lett kunne åpne dokumentet for redigering, flytte på dem og avsløre det skjulte. Innebygde objekter kan som regel åpnes i et annet program som så kan gi tilgang til grunnlagsmaterialet bak, f.eks tallmateriallet bak en graf eller en summarisk tabell.

Meta-informasjon

Slike dokumenter inneholder dessuten en mengde såkalt metainformasjon, informasjon om dokumentet selv, og som kan være uønsket eller avslørende. Noen eksempel på metainformasjon er hvor lenge dokumentet har vært redigert, hvem som har redigert det, hvor mange endringer som er gjort og nøyaktig sti til hvor originalfilen er lagret. Til sist inneholder spesielt Word-filer ofte historikk over alle endringer som er gjort, kanskje bare litt pinlig, men i høyeste grad også farlig. Det man trodde var slettet var ikke slettet, bare lagt til side, fortsatt eksisterende i filen. Dermed er det en smal sak for den som laster ned eller mottar slike filer å se hva som måtte være fjernet, f.eks personidentifikasjon som fødselsnummer, navn, sensitive opplysninger eller rett og slett rene hemmeligheter.

To personvern-skandaler i høst

I tilfellet med St. Olavs Hospital skriver det norske Datatilsynet blant annet følgende:

Pasientopplysningene var en del av et dokument som ble benyttet i intern undervisning ved St. Olavs Hospital og ble lagt ut på sykehusets nettsted som et vedlegg. I tillegg viste det seg at elementene som skulle sladde personopplysninger var lette å flytte på.

I tilfellet fra Danmark dreide det seg innebygde objekter, og det danske Datatilsynet skriver blant annet følgende:

Datatilsynet har rejst flere konkrete sager om hjemmesider, hvor personoplysninger i bl.a. PowerPoint-præsentationer har været tilgængelige. Der er bl.a. tale om en PowerPoint-præsentation med underliggende personnumre og helbredsoplysninger på over 25.000 personer.

Generelle råd

Mange gode råd og instruksjoner om bruk av elektroniske dokumenter går ut på at man kort sagt kan si at disse Office-formatene ikke er egnet og egentlig ikke beregnet på transport av informasjon mellom parter eller til publisering. De hevdes å være for interne dokumenter, som et redigeringsformat. Man kan altså lagre dem og siden hente dem opp for å redigere dem, men man bær være meget forsiktig med å send dem fra seg til tredjepart eller publisere dem. Dertil kommer at man da forutsetter at mottakeren har tilgjengelig denne programvaren fra Microsoft, eller i alle fall noe som kan lese slike filer, tilmed i riktig versjon av formatet. Det blir stadig påpekt fra ulike hold at ikke alle har, kan eller vil ha Microsoft Office, selv om de fleste enten ser ut til å tro det eller bare ikke vet hvordan gjøre sine dokumenter tilgjengelig på egnede formater, som også er åpne og lett tilgjengelige som standarder. At datatilsynsmyndighetene i Norden nå har begynt å interessere seg for problemet for alvor kan innevarsle at det heretter blir strengere krav og bedre rutiner, først og fremst i det offentlige.

Enkle råd for å unngå disse sikkerhetsproblemene

  • For Word: Lagre dokumentet som Rik Tekst-format (RTF) fra «Lagre som»
  • Ekstern informasjon, f.eks fra Excel kan settes inn som bilder eller statiske resultater og ikke bygges inn objekter
  • Generelt bør man konvertere dokumenter, både Word og Powerpoint, til «Portable Document Format» (PDF) før oversending eller publisering
  • Som mange vil hevde: Bruke annen programvare til dokumenter, som Wordpad (kun Windows) eller OpenOffice, KWord eller AbiWord (tilgjengelig flere operativsystemer/plattformer)

Sjekk vårt lille illustrerende eksempel

Forleden fikk en bidragsyter her på iNorden tilsendt følgende artighet, «For the Ladies», på epost:
Kalender (OBS: Powerpoint-fil)

Har du PowerPoint eller bare PowerPoint Viewer kan du åpne og vise den. Skulle du bli skuffet, være ørlite nysgjerrig og har ekte Powerpoint så er du neppe nysgjerrig så lenge. Det er ikke akkurat noe hokus-pokus å avsløre den skjulte «godbiten».

De som verken har Powerpoint eller den gratis vieweren installert kan finne presentasjonen her, på Google Dokumenter. (tips: Klikk lenken for å åpne i eget vindu). OBS: Skal du avsløre den siste biten må du være registrert bruker eller registrere deg slik at du får tilgang til redigering av dokumentet.

Tiltak og innskjerping etter skandalene

Etter de pinlige hendelsen er det satt i gang omfattende endringer i rutiner og en del tekniske tiltak for å hindre gjentakelser. Problemet er nemlig ikke endelig løst ved å fjerne dokumentet fra webserveren. Når slike ting havner på nettet vet man aldri hvor mange kopier som er tatt og som kan republiseres. Det danske Datatilsynet har også laget en side med råd for hvordan unngå slike problemer.

Foto: Powerpoint-presentasjon som lysbildefremvisning. Fotograf: Gareth Saunders. Fra Wikimedia Commons.

Også publisert på iNorden. Kommenter der.

Skrevet av

Knut Sparhell

IT-ingeniør, Nytt Nettsted